Samba policy

Linux-haladó

HalihO!
Letezik egy Debian gep, rajta Samba PDC. A domainba be tudnak lepni a gepek (w2k es wxp), mukodik a roaming profile.
Van netlogon, az odatett logon.bat belepeskor automatan lefut. Nos, policyt kellene beallitanom. Ket utat lattam (samba.org doc-bol a 25-26 fejezet es
nemely hup-os temak atolvasasa utan.) Na, inkabb bemasolom a cimeket, amiket atneztem :)
http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/PolicyMgmt.h…
http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/ProfileMgmt…
http://www.pcc-services.com/custom_poledit.html
http://hup.hu/node/12783
http://hup.hu/node/14045
http://www.slacklife.com.br/article.php?sid=850
Nos, ket megoldas tunt fel:
1. w2k sp4 letolt, kibont, egy *.msi file-bol poledit.exe kiszed es hasznal. (az MS honlaprol es mas helyekrol is sok kellemes *.adm file
toltheto le hozza, aranylag konnyen kezelheto.) Ezzel letrehozok egy NTConfig:POL nevu filet, amit beteszek a netlogon-ba es kesz.
Nem jon ossze, hiaba rakom a netlogonba, ra sem bagozik, ha domain userkent lepek be (mikozben a logon.bat lefut, tehat olvassa a netlogont)
2. MMC, csoporthazirend. Van csoporthazirend-szerkeszto is, happy vagyok, de: ha beallitom a gepen, hogy ne tudja a csoka pl. a Task managert haszanlani, az nagyon jo, de csak arra a gepre ervenyes. Mondjuk arra a gepre meg tokmindegy, hoyg domain user lep be vagy helyi csoka.
Ha belepek az admin jogu (smb.conbf szerint) felhasznalommal a domainbe, nem tudom futtatni a Csoporthazirend-szerkesztot, mert nincs ra jogom :(
Hiaba vagyok a sajat gepemen es a samba pdc-ben is admin, akkor sem :(
Mondjuk, tudok csinalni szep konzol1.msc fileokat, amik gyonyoru xml-ek, de sajna lovesem sincs, hova kellene masolni ahhoz, hoyg mukodjon...
Van egy olyan erzesem, hogy ezek csak sablonok, az MMC a valos beallitasokat szepen a registryben tarolja (ilyenkor megint tudom utalni az egesz registry-t, sokkal egyszerubb lenne, ha megirnam txt-ben majd a megfelelo helyre bemasolva mukodne...)

Szoval tudna valaki segiteni benne, hoyg tudok policyt- (mivel tudok?) Samban es w2k, 2wp klienseken?
Nagyon koszonnem :)

  • 4954 megtekintés

( congo v | 2006. 05. 23., k – 20:26 )

Tartományi csoportházirendet nem lehet csinálni AD nélkül.
Az poledites játék pedig W9x (config.pol) vagy WinNT (ntconfig.pol) alatt működött.

Viszont a lokális Group Policy beállításokat (=registry változások) mondjuk exportálhatod .REG-be, és logon scriptből import. De ez csak egy gyors ötlet, még nem csináltam ilyesmit. Ha komoly Group Policy kell akkor AD.

Nyavalyaba :( Ez pofaraeses.
Hmm, az a logon import reg nem rossz, kerdes, hogy a normal domain usernek van-e hozza joga? Majd holnap megnezem. Koszi az oteletet!
(Mar csak annak orulnek, ha egy egyzseru diff segitsegevel lehetne mondjuk a registry valtozasokat kezelni, mert most azon torom a fejem, hoygan lassam meg, mi valtozott...)

Na igen, jogos. Ezért írtam hogy csak egy kósza ötlet :)
A user policy-ból származó változások a saját profiljában (HKCU hive) történnek, de ha lenne hozzá írásjoga a felhasználónak akkor registry buherával ki tudná kerülni az egészet. Szóval ez továbbí átgondolást igényel... :)

A dologhoz meg csak valami registry snapshot szoftverre van szükséged. Kapásból nem nagyon tudok ilyet mondani, de majd biztos jön valaki okosabb, vagy a Google segít.

Noigen, egy tetszoleges kulcsot exportaltam a regedit segitsegevel, beirtam a logon.cmd scriptbe (marmint az exportalt cucc nevet) es betoltotte :) Sajna, rakerdezett, jo lenne tudni, hogy tudok autoamatan hozzaadni a registryhez...(De mar tul faradt vagyok hozza, hogy utananezzek, amugyis az az erzesem, hogy teljesen egyertelmu...)

Szoval ket dolog van vissza:
1. megkeresni, hogyan adja automatan hozza a .reg bejegyzest
2. vmi diff-szeru programot keresni, ami kigyujti a registry "ilyen volt-ilyen lett" kulonbseget :)

Ja, meg ott a harmadik, a T. user nem nyul bele a registrybe, hogy modositson rajta. De ez sztem nem gond, elvegre ez letilthato. Es ugye az elejen a .reg file-bol azt is berangatja, hogy utana ne lehessen hozzanyulni...

Hat, eleg nyakatekert, de talan mukodni fog...

Hmm, az is meggondolando, hoyg ez igy elso alkalommal mukodik, de masodik belepeskor mar sztem gondban lesz, elvegre nem irhatja a registryt... Hmmm...

Ettol fuggetlenul nem hajtja vegre...
Megcsak hibauzit sem ir, hogy mi a banata. Tobb gepen probaltam (w2k, xp, satobbi), semmi. Probaltam a 3.0.14a Sambaval (egy Sambas levlistan azt olvastam, hogy az kezelte), nem mukszik. Probaltam a 2.x sorozat par tagjaval, hat ott meg domainbe se lepnek a gepek.
Lehet, hogy vmelyik windows frissites lotte meg az egeszet? passz.
Az ntconfig.pol jo, arra is rajottem, hogyan tudom direkt a sambas gepen szerkeszteni (asszem, ezek kellenek a [netlogon] reszhez:
read only = No
acl check permissions = No
acl map full control = No
guest ok = Yes
browseable = yes
de hiaba tudom szerkeszteni, ha nem hajtja vegre.

Koszi, ezt is letoltottem mar delutan, instalalltam is, de meg semmire sem jutottam vele. A nagyobb porblema az, hogy 42 nap utan (ha jol emlekszem) fizetni kell erte :( (nem nekem problema, hanem ott, ahol meg lesz valositva...)

update : addig eljutottam, hogy sajatgepen fut, samban nem, de sajatgepen letre tudtam hozni, usert hozzaadni, szerkeszteni, viszont idnitaskor failed uzenettel jon :(((

Szoval marad a *.reg...

( spectator | 2006. 05. 24., sze – 04:19 )

Nekem ugy tunik, hogy nem a poledit a te baratod.

Policy files are not portable between Windows 9x/Me and MS Windows NT4/200x/XP-based platforms. You need to use the NT4 Group Policy Editor to create a file called NTConfig.POL so it is in the correct format for your MS Windows XP Pro clients.

Nekem az jott le a szovegbol (az elso linkedrol), hogy a poledit win98-hoz (?) valo tool, neked ez a "NT4 Group Policy Editor" nevu csoda kell ami IMHO MMCbol elerheto, mintha lattam volna valahol. Azzal megcsinalod a policyt, elnevezed berakod.

Majd ird meg sikerult-e...

Hmm, a szoveg szerint (ha jol ertelmezem :) volt egy poledit.exe a w9x/me vonalban es volt egy masik az nt4 vonalban (utobbi esetben csak a z SP-bol elerheto). En speciel a w2k sp4-bol szedtem ki. Es ugy tunik, ez tenyleg csak local user/machine-t tud :( De meg az is jo lenne, ha elmentve NTConfig.POL neven betoltodne.
Namost, az MMC-ben letre tudok hozni ilyesmit, de itt a gond, ha rendszergazdakent a sajat gepemen hozom letre, akkor registry-be kerul, ha bejelentkeek domain-be, akkor viszont magat az MMC-t nem tudom futtatni. De ezt sztem leirtam az elejen is. Mondjuk, a legkonnyebb dolgom akkor lenne, ha eldontenem, hogy az elso hozzaszolasnak egy az egyben igaza van, es semmikeppen sem tudom ezt AD nelkul megcsinalni. De olyan nehez feladni....

Nekem is ugy tunt...
Pedig milyen szep lenne, logikus lenne meg stb lenne, ha egyben tartalmaznak a beallitott dolgokat is...Vagy mittomen...Egy hete ezzel szenvedek, es csak nem jon ossze :( Samba 25-os fejezeteben emlitenek egy gpolmig.exe nevu filet, na ezt beszerezni :( Ilyenkor mindig az apt-get jar az eszemben, mikor felturom a netet, googlet, MS honlapot, meg az osszes itt hevero MS cd-t :( (w2k, w3k3, w2k SBS, ez utobbi legalis is, legalabb azon ki tudtam probalni, a "mi lenne, ha..." formulat, vagyis azon fut az AD msc...

( Celtic v | 2006. 05. 25., cs – 17:42 )

Na, beszamolok az eddigiekrol, hatha meg hasznos lesz....
Van sok diff-gyarto proggi windows ala...Az egyik legigeretsebb a
http://www.honositomuhely.hu/index.php?option=com_remository&Itemid=40&…
cimen talalhato Regshot. Freeware, keszit egy pillanatfelveelt a registryrol, valtoztatok, ujabb felvetel es osszehasonlitja a kettot.
Sajna, a kimenete nem az igazi :(
Kovetkezo a regeditbol export, valtoztatas, megint export, aztan
http://www.honositomuhely.hu/index.php?option=com_remository&Itemid=40&…
ActiveFile Compare (Hmm, Linux patchet is tud gyartani, sajna shareware) Ez mar elviselhetobb.
Szoval van egy kulonbseg kepzes. Ezt kicsit varialtam, a
HKEY_USERS\SID\stb atalakult HKEY_CURRENT_USER\stb formatumra.
10M txt-vel alig egy ora alatt vegzett a windows jegyzettomb....
Ez a 10M nemcsak kulonbseg volt, hanem az egesz HKEY_USERS\SID\Software\Microsoft ag. Ugyanis rajottem, hoyg a policy nagy reszet a HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Policies reszben tartja, de 1-2 dolgot ennel feljebb tett...

Namindegy, atiras utan beirtam a logon.cmd file-ba a
reg import registry.reg sort (ezz a registry.reg tartalmazta a valtoztatasokat) es ez szepen automatan beimportalta. XP alatt...Ugy tunik, ez a "reg import" w2k-n nem mukodik :(

De ez is nagy haladas, szoval megcsinalhato, csak nem egyszeru :)
(Arrol nem is beszelve, hogyha valtoztatni kell...Beleoszul az ember...)

Update: Koran orultem :( Csak a rg jogu user irhat a Policies agba :(
Mondjuk, eleg logikus, csak ezzel jol pofara estem...
Es ha megforditom? Egy gep csak egyszer lep be domainbe, akko rg lepteti be, tehat kaphat egy alap policyt, ami tilt. ezutan ha egy rg lep be a gepre, akkor mar kaphat engedelyezo policyt...
(Elnezest, hogy leirom a gondolataimt, majd holnap ki is probalom :)

( Celtic v | 2006. 05. 26., p – 08:48 )

Kerdesem lenne: lehet a windows policy-ban szabalyozni az eszkozok
elerhetoseget? tehat mint a /dev/cdrom (mondjuk, a /dev/cdrom szimlink a valodi cd-re), es leveszem rola az olvasasi jogot, akkor hiaba mountolhatja be az user, megsem tudja olvasni :)
Szoval ugyanez megvalosithato windows policy-ben is a floppy, cd, USB (pendrive) eseten? Ha igen, elarulna valaki, hol keressem?
Koszi!

Na, ez megvan :)
Google a "windows policy usb" szora rogton ezt a talaltot adta :)
http://support.microsoft.com/default.aspx?scid=kb;en-us;555324

A hatranya, hogy minden valtoztatasnal ujra kell inditani a gepet :(
A registry csodaja, a windows sokkal kevesebbszer kell ujrainditani...
Jaigen, es MMC-bol a Csoporthazirend-szerkeszto nem ismeri fel, a poledit segitsegevel lehet beallitani. Vagy direkt *.reg file-bol :)

( xer321 | 2006. 06. 07., sze – 16:30 )

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Control\ Update

"NetworkPath" Datentyp REG_SZ. "\\\\W2kPol.POL")
Egyébként meg : regedit.exe /s valami.reg

Igen, ez az *.adm file-ok lelohelye. Vagyis innen olvassa be a template-eket. Sajna, ez ugyanaz, mint a gpedit.msc: ha nem szerver a gep, akkor csak a sajat gepen lehet beallitani a policyt :(

Ja, a link: sajnos, ezt is mar olvastam paszor.
Idezek:
• Client computers that are running Windows 2000, Windows XP Professional, or Windows Server 2003 ignore System Policy settings that are placed in the Netlogon share of a Windows 2000 domain controller or a Windows Server 2003 domain controller. Instead, they apply Group Policy settings.

:(((

Hmm, eltunt a "szerkeszt"...
Naigen, megneztem, es ez be volt nekem irva. Vagy az MMC segitsegevel, vagy a poledit registry-modostio reszere irtam be meg anno (csak nem neztem utana, hova irja a registry-be)
Szoval sajna ez sem jott be :(
Ugy tunik, ezzel a Sambaval tenyleg nem lehet megcsinalni :(

Lehet, hogy rossz a pol a samba leírásban ezt találtam:
The MS Windows 2000 Resource Kit contains a tool called gpolmig.exe. This tool can be used to migrate an NT4 NTConfig.POL file into a Windows 200x style GPO. Be VERY careful how you use this powerful tool. Please refer to the resource kit manuals for specific usage information.
Bocsi tárgytalan nem emlékeztem erre a részre. Már leírtad.
Estleg ez?
http://www.msknowledge.net/GroupPolicy/GroupPolicy_1.asp
de tényleg kellene az a gpolmig.exe

( obi17 | 2006. 08. 15., k – 00:03 )

Remélem még nem halott a téma, így hát írok!

Már 2 napja szenvedek samba PDC-vel (3.0.22), minden megy, már odáig eljutottam, hogy felhasználó be tud lépni tartományba (WinXP klienssel), és azt is kipróbáltam már, hogy ntconfig.pol -al miújság.
Amikor tartományi felhasználó belép kliens gépről, ntconfig.pol -t winxp beolvassa (ezt smb.conf 'log level = 5' esetén nagyon jól lehet látni samba logból!), VISZONT:
XP dob egy eseményt az alkalmazás naplóba: eseményazonosító 1508: "a rendszer kísérletet tett egy rendszerleíró adatbázisba való betöltésére vagy visszaállítására, de a megadott fájl nem megfelelő formátumú"!

Próbálkozok tovább:
törlöm samba pdc netlogon megosztásából ntconfig.pol fájlt, belépek megint winxp -n egy tartományi userrel, eredmény: samba log -ból kiderül, próbálja elérni az ntconfig.pol fájlt, és visszaüzen xp -nek: nincs ilyen fájl! :) Na, most megnézem alkalmazás esemény naplót, és láss csodát: nincs 1508 -as winxp hiba! :)

Ismét próbálkozok tovább:
készítek egy új ntconfig.pol -t a következő tartalommal:
[System Access]
MinimumPasswordAge = 0

Próbáltam a fájlt unix és dos sorvégekkel is, mindhiába, az eredmény 1508 -as winxp hiba! :(

Valakinek valami ötlet?

Sajnos az eddigi tapasztalatom az, hogy a Samba3... nem kezeli a csoport házirendet, csak az NT4-ig . Az pedig csak a poledit-l működik. Vannak beállítások, amit átvesz az XP, de a Win2000 nem. Illetve fordítva. Pl.: domain keresési sorrendje. XP átveszi, Win2000 nem. Talán a következő verzió. -:(

( Blueray | 2007. 03. 13., k – 20:58 )

Az sem oldható meg valahogy, ha már a group policy nem megy, hogy a tartományba belépve teljes hozzáférésem legyen a lokális géphez? Mert alapesetben, ha belépek a domainba, semmi kontrollom nincs.

Hali!

Most találtam meg a topicot.
Esetleg van e előrejutás a témában.
Most én is evvel küzdök.
Nekem az a gondom, hogy samba pdc szépen megy, de xp gép belépése után alapból bizonyos tiltások vannak.
Az egyik nagyon bosszantó, hogy nem enged nyomtatóhoz kapcsolódni, mert : "A számítógépen olyan házirend érvényes..."

Hogy lehetne ezt a tiltást feloldani?